Türkiye’de AVM kültürünün gelişmesi ve yaygınlaşması kişisel verilerin korunması kapsamındaki konuları da beraberinde getirmiştir. Kişisel Verilerin Korunması Kurulu'na yapılan başvuru ve şikayetlerden birisi de vatandaşların mağazalardan gerçekleştirmiş oldukları alışveriş sonrası kasa işlemleri esnasında SMS ile doğrulama kodu gönderilmesi olmuştur. Mağaza görevlileri tarafından, SMS ile kod gönderildikten sonra bu kodun kasa görevlisine söylenmesi istenerek; kodun ödeme işlemlerinin tamamlanması ya da bilgilerinin güncellenmesi için gerekli olduğu ifade edilmiştir.
KVKK tarafından yapılan incelemeler neticesinde vatandaşlara gönderilen SMS içeriklerinde ya da SMS gönderimi öncesinde, herhangi bir aydınlatma yapılmadığı, gönderilen kodun ödeme işlemlerinin tamamlanması ya da müşteri bilgilerinin güncellenmesi için gerekli olduğu söylenmektedir. SMS içeriklerine bakıldığında ise veri sorumlusu tarafından ticari elektronik ileti gönderimi için vatandaştan açık rıza alındığı anlaşılmıştır. Fakat burada vatandaşı yanıltma durumu söz konusudur.
Daha önceki yazılarımızda da anlattığımız üzere açık rızanın 3 unsuru bulunmaktadır.
Bunlar;
- Belirli bir konuya ilişkin olma,
- Bilgilendirmeye dayanma,
- Özgür iradeyle açıklanan rıza olmasıdır.
Açık rızanın belirli bir konuya ilişkin olması açık rızanın hangi konuda alınacağının açıkça ortaya konulması demektir. Diğer bir taraftan açık rıza bir irade beyanıdır. Vatandaşın neye rıza gösterdiğini bilmesi gerekmektedir. Vatandaşın özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de gösterdiği açık rızanın sonuçlarını da bilmesi gerekmektedir. Ayrıca, açık rıza hizmet şartına bağlanamaz.
Açık Rıza Öncesi Aydınlatma Yapılır mı?
KVKK’nın 10 uncu maddesine bakıldığında kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından, ilgili kişilere maddede sayılan hususlarda bilgi verilmek suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir. Dolayısıyla aydınlatma yükümlülüğü kişisel veri işleme faaliyetinin gerçekleştiği her durumda alınmalıdır. Aydınlatma gerek açık rıza gerekse de Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülüktür. Kişisel veri işleme faaliyeti açık rıza şartına dayanıyor ise öncesinde açık rıza onamına ilişkin ayrı olarak muhakkak aydınlatma yapılmalıdır.
Mağazalar SMS Kodu İle Üyelik Sözleşmesi Yapabilir mi?
Mağazalarda vatandaşların almış oldukları mal ve hizmetlere ilişkin ödeme esnasında SMS ile doğrulama kodu gönderilerek üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesi KVKK’ya aykırıdır.
Sonuç
Alışveriş yapan vatandaşların, alışveriş sonrasında telefonlarına gönderilecek olan SMS’in neden gönderildiği ve SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar gerçekleşeceğinin katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından vatandaşlara açık ve anlaşılır bir biçimde anlatılması gerekmektedir. Veri sorumlusu açık rıza ve aydınlatma yükümlülüklerini ayrı ayrı yerine getirmelidir. Ticari elektronik ileti ile açık rıza almak isteyen mağazaların ise bu işlemde açık rızanın ve aydınlatmanın tüm unsurlarını KVKK’ya uygun şekilde planlaması gerekmektedir.
